Mac-urile companiei Apple sunt afectate de doua exploit-uri critice, zero-day, care au fost descoperite pentru browserul Safari, si au fost prezentate in cadrul unei conferinte de securitate din Vancouver, Canada. Cu ajutorul unuia dintre ele, un hacker poate prelua control de administrator asupra macOS, si poate lua orice fel de informatii din respectivul Mac.
Primul exploit ii permite unui hacker sa acceseze fisiere din afara sandbox-ului aplicatiei pe care a creat-o, ceva ce in mod normal ar fi imposibil. Al doilea permite inclusiv preluarea de drepturi de administrator, ceea ce face exploit-ul extrem de periculos pentru Mac-urile celor din Cupertino, Apple deocamdata cunoscand doar una dintre vulnerabilitatile exploatate.
Hackerii care au demonstrat aceste exploit-uri au primit 90.000 de dolari pentru faptul ca au reusit sa arate ca sistemul de operare al companiei Apple nu este chiar atat de sigur. Desigur ca aceste exploit-uri le vor fi facute cunoscute si celor de la Apple, care oricum platesc sume chiar mai mari de bani pentru vulnerabilitatile descoperite in sistemele de operare.
They successfully exploited the browser and escaped the sandbox by using an integer overflow in the browser and a heap overflow to escape the sandbox. The attempt nearly took the entire allowed time because they used a brute force technique during the sandbox escape. They demonstrated a complete system compromise. By browsing to their website, they triggered a JIT bug followed by a heap out-of-bounds (OOB) read – used twice – then pivoted from root to kernel via a Time-of-Check-Time-of-Use (TOCTOU) bug.